日本オラクルは2011年10月18日、不正なアクセスからリレーショナルデータベース管理システム(RDBMS)を守るゲートウエイ型のセキュリティソフト「Oracle Database Firewall」を発表した。2011年11月9日に出荷する。価格(税込み)は、1CPUあたり625万円。別途、保護対象DBMSのCPUあたり54万3500円がかかる。
Oracle Database Firewallは、DBMSの直前にインライン設置してネットワーク上のSQLアクセスを解析・ブロックするセキュリティソフトである。アクセス透過型で動作するので、既存のアプリケーションに変更を加えずに運用できる。また、インライン防御のほか、スイッチのミラーポートなどに接続して監査用のログ取得に限った使い方もできる。監視対象DBMSは、Oracle Database、SQL Server、DB2、Sybase。
不正なSQLアクセスを検知する方法は、ホワイトリスト(許可するSQLのリスト)方式とブラックリスト(拒否するSQLのリスト)方式の二つ。最大の特徴は、SQLの文法構造を理解するエンジンを搭載したこと。これにより、検知対象のSQLを、簡単な記述で定義できる。データの値が異なっていても、同じ文法構造を持つSQL文であれば、同一のポリシーを適用して検知できる。
SQL解釈エンジンとハードウエア拡張性に特徴
これに対し、これまで市場に出ているDBファイアウォール製品は、特定の文字列を正規表現などで指定するパターンマッチングの方法を採用しているという。日本オラクルでデータベースビジネス推進本部担当ディレクターを務める北野晴人氏(写真1)は、「パターンマッチングでは、1000~2000もの大量のルールを書かないと使えない。性能も出ないし、メンテナンスも大変」と、Oracle Database Firewallの優位性を説明する。
アプライアンスではなくソフトウエア製品であるため(Oracle Linuxと一体化したソフトウエアパッケージ)、ハードウエア性能も任意に決められる。PCサーバーの性能を高めることで、DBMSの処理性能に合わせてスループット性能を高められる。ライセンスは、インストールするサーバーのCPU数や、保護・監査対象のDBMSのCPU数に依存する。
本丸はデータ、中心をなすDBMSを守ることが重要
なお、Oracle Database Firewallは、米Oracleが買収した英Secernoの製品ラインである。DBMSの直前で、アプリケーションレベル(SQLアクセス)で攻撃を検知・防御するDBファイアウォール製品であり、SQLインジェクションなどのアプリケーションの脆弱性を突く攻撃や、社内サーバーを乗っ取って踏み台として利用する攻撃などをブロックできる。
昨今では、APT(標的型メールによるマルウエア攻撃など、特定組織を狙った持続的で標的型の攻撃)が主流になるなど、侵入手口が年々変化している。一般的な入口対策(外部からのネットワークトラフィックをファイアウォールで防御)と出口対策(情報漏えい防止のための各種製品)だけではなく、侵入方法の変化に合わせて対策を変える必要があると同社は指摘する。その一方で、「ある日突然、新しい攻撃手法が登場したとしても、DBを直接守っていれば、焦る必要はない」(北野氏)としている。
